» Общие вопросы про AD (Active Directory)

IceFusion
Если при этом Eventid повторяются 1030 и 1058 то делаем следующее
1.    Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду regedit и нажмите кнопку ОК.
2.    В редакторе реестра найдите следующий раздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
3.    Проверьте, существует ли в данном разделе параметр WaitForNetwork. Если этот параметр отсутствует, создайте его. Для этого выполните следующие действия.
a.     Щелкните раздел Winlogon правой кнопкой мыши, выберите пункт Создать, а затем — команду Параметр Dword.
b.     В поле Параметр введите WaitForNetwork.
4.    Щелкните параметр WaitForNetwork правой кнопкой мыши и выберите команду Изменить.
5.    В появившемся окне Изменение параметра DWORD в поле Значение введите число 1 и нажмите кнопку ОК.
6.    Закройте редактор реестра.

http://support.microsoft.com/kb/842804

Ясно спасибо, это тоже самое что и через ГПО можно настраивать?

IceFusion
Не очень понял , что тоже самое,но делать это надо на том DC на котором ошибки валятся в event'ах....

netman

Цитата:

Если при этом Eventid

То же самое уже который день. 1030, 1058 в логе. от wait.. - толку никакого, сделал сразу. (

dcdiag - all passed
dcdiag /test:dns - passed
netdiag - all passed, кроме wins, trust, ipsev - skiped

Не знаю, за что и взяться уже. (

Цитата:

""""
Данная проблема может возникать, если группа «Все» была лишена разрешений NTFS на доступ к корневому каталогу. Если группа «Все» действительно не имеет таких прав, присвойте этой группе права на чтение и выполнение только для корневого каталога.

""""

Клиент DFS рабочий?
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup
disabledfs какое значение здесь?

G14

Цитата:

Цитата:Вопрос: будут ли какие-нибудь клюки с нашей ad, если domen.ru переключится на хостинг провайдера?

Все зависит от дизайна DNS, который вы сделаете для этого....При правильном дизайне DNS все должно быть нормально.

Досталось в наследство. где почитать про правильный дизайн и как его проверить?

obtim
Тебе нужно почитать про splitbrain dns. Правда тут есть нюанс, изнутри корпоративной сети сайт будет нормально доступен только по алиасу www, то есть www.domain.ru - нормально, а просто domain.ru будет отдавать ip контроллеров домена.

А как узнать версию установленной AD? В сети один контроллер на 2000-й и один на 2003-й. Следовательно, версия AD обновлялась. Но вот до какой? Версия для R2 отличается от версии для 2003 SP1?

Цитата:

Но вот до какой?

Ну до 2003, до какой же еще? Версия схемы 30 если я правильно помню....

Цитата:

Версия для R2 отличается от версии для 2003 SP1?

Да. В R2 версия схемы 31.
Посмотреть можно либо в реестре
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
Schema Version
либо через Adsiedit.exe или Ldp.exe посмотреть аттрибут objectVersion у cn=schema,cn=configuration,dc=<domain> партиции.

mkolesov
Если несколько DC ,то как мне кажется нужно перезагружать все.Перед этим внимательно посмотри нет ли в dns двойной записи для DС с разными IP.Такое бывает когда было или есть 2 сетевухи на DC.

G14
Спасибо, нашел. Версия 31, а не 30. По всей видимости, сразу с диска R2 обновлялось.

netman
Перезагружал. Не помогло. (

Подскажите плз как бы мне сделать так чтобы комп мог быть и в домене и в рабочей группе одновременно....и соответственно мог через сетевое окружение видеть ресурсы сетей и иметь к ним доступ.. а то еще 1 домен в лом поднимать в другом месте....

Erazer
тебя спасет Net use * \\server\share /u:server\username password

но броузинг все равно работать не бу... сетевых ресурсов других компов кроме server я все равно не увижу?!

Erazer
никак. это взаимоисключающие вещи.

G14
Erazer
можно рабочую группу назвать так же, как и NetBIOS-имя домена. тогда все друг друга увидят

Event Type:    Error
Event Source:    NetBT
Event Category:    None
Event ID:    4321
Date:        24.02.2007
Time:        16:30:41
User:        N/A
Computer:    BSERVER
Description:
The name "GCE :1d" could not be registered on the Interface with IP address 192.168.200.4. The machine with the IP address 192.168.200.3 did not allow the name to be claimed by this machine.

Вот такая ошибка появилась, дублируется она с переодичностью пару раз в день. Я так понимаю она ругается на дублирование имен в сети, но дублированных имен нет, как и ip адресов дублированных тоже нет.
GCE - это имя домена, машин с таким именем в сети нету!!!
192.168.200.4 - адрес машины на которой ошибка всплывает, эта машина DC
192.168.200.3 - тоже DC, на ней все роли и ГК
Днс поднято на обеих машинах. Обе машины друг друга видят, репликация проходит без ошибок!
Народ помогите, как решить проблему??

Доброй ночи!
Есть файл с картиной. Каким образом можно его засандалить всем компам в домене, а то никак не соображу. Спасибо. Извиняйте за тупой вопрос если что.

Dima RU

Цитата:

Event Type: Error
Event Source: NetBT
Event Category: None
Event ID: 4321

http://www.eventid.net/display.asp?eventid=4321&eventno=1822&source=NetBT&phase=1

P.S. Если WINS поднят мож в нем записи неправильные застряли.

netman


Цитата:

http://www.eventid.net/display.asp?eventid=4321&eventno=1822&source=NetBT&phase=1

P.S. Если WINS поднят мож в нем записи неправильные застряли.

я это уже видел, не нашел своего случая, wins у меня не поднят. Может какая апаратная ошибка в сетевухе

Добавлено:
bolelshik1

Цитата:

Доброй ночи!
Есть файл с картиной. Каким образом можно его засандалить всем компам в домене, а то никак не соображу. Спасибо. Извиняйте за тупой вопрос если что.

засандалить куда, на рабочий стол???

народ есть два сервера AD на них токо сервис AD, DNS, DHCP вот эти службы: WinHTTP Web Proxy Auto-Discovery Service – WinHttpAutoProxySvc (Win2K3)
World Wide Web Publishing Service
можно отключить???

Dima RU

Цитата:

можно отключить???

На мой взгляд можно отрубить.

G14

Цитата:

Тебе нужно почитать про splitbrain dns. Правда тут есть нюанс, изнутри корпоративной сети сайт будет нормально доступен только по алиасу www, то есть www.domain.ru - нормально, а просто domain.ru будет отдавать ip контроллеров домена.

Почитал то, что нашел в яндексе по этому поводу. но там больше теории. Смтуно догадываюсь, что с моей внутренней днс все ок. Но хотелось бы более точно проверить.
Подскажи на что смотреть?

Скажите, могут ли возникать какие-то проблемы из-за того, что компьютер имеет имя
AD-srv. а не AD-srv.domain.com
?

Hryamzik
Конечно! Если компьютер в домене, то обязательно надо указать домен, если не в домене, тогда комп будет работать на уровне рабочей группы.

Помогите пожалуйста. Есть АД, в ней несколько групп пользователей, для каждой группы есть своя политика. Но когда я добавил сценарий входа (не в свойствах групп, а конкретно в свойствах каждого пользователя), то у одних групп срабатывает, у других нет.
Сам сценарий вида
net use t: \\server\temp /persistent:no (простое подключение сетевого диска)
Подскажите, где в политиках что нужно изменить, чтобы сценарий выполнялся?

а как можно в АД обычным пользователям запретить использовать CD DVD флешки дискеты ?
еще хотелось бы узнать как настроить комп на то чтобы если вставляется любой переносной носитель информации чтобы он сначала автоматом сканировался антивирусом
и только потом можно было его открыть?
и еще можно ли средствами АД просто наблюдать за удаленным рабочим столом?

Цитата:

а как можно в АД обычным пользователям запретить использовать CD DVD флешки дискеты ?

Билт-ин устройства:
Cкрыть - GP\User Configuration\Administrative Templates\Windows Components\Windows Explorer\Hide these specified drives in My Computer
Запретить доступ - GP\User Configuration\Administrative Templates\Windows Components\Windows Explorer\Prevent Access to Drives from My Computer
Флешки и юсб устройства - запретить пользователям ставить драйвера:
GP\Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Load and unload device drivers

Цитата:

и еще можно ли средствами АД просто наблюдать за удаленным рабочим столом?

Нет. АД для этого не предназначена.

Люди помогите, сложилась след.ситуация: есть большая сеть, с рабочими группами, стоит задача постепенно перевести ее в доменную сеть. Ставлю контроллер домена с ДНС, ввожу рабочие станции - все ок. Но вот нужно организовать такую работу когда пользователи домена будут видеть машины из рабочих групп(это временно но без этого никак).
ДЛя машин домена прописан ДНС кот. поднят на контроллере (допустим 192.168.168.20), машины не в домене используют другой ДНС (192.168.168.1), понятно что одному ДНСу нужно указать на другой, но вот вопорс какому именно, и как сделать чтобы машины из домена и раб. группы видели друг друга в боих направлениях!!!
Основным ДНСом явл. 192.168.168.1 т.к. в нем зарегены все машины сети, ну кроме тех кот. потихоньку переходят в AD.
И еще вопросик, часто возникает такая ситуация, что машина нормально мигрирует в АД, однако в его ДНСе она не регистрируется ни в прямой ни в обратной зоне, однако после устновки галочки в св-вах соединения "Добавлять суффикс при регистрации в ДНС" регистрация проходит удачно, это вообще нормальная ситуация???